編集部からのお知らせ
EDRの記事まとめダウンロードはこちら
電子契約の記事まとめDLはこちら

クリプトマイニングにも利用される「Necro Python」ボット、新たなエクスプロイトで機能強化

Charlie Osborne (Special to ZDNet.com) 翻訳校正: 編集部

2021-06-04 14:20

 Cisco Talosが米国時間6月3日に公開した「Necro Python」に関する報告書によると、このマルウェアはその能力を高めているという。Necro Pythonは2015年から開発されているとみられている。このボットは、「FreakOut」もしくは「Necro」という別名を持ち、Check Point Research(CPR)が2021年1月に、Netlab 360が3月に詳細を報告している。

 Necro Pythonの開発者は、多数の変更を施し、ボットのパワーと汎用性を強化している。ボットには10以上のウェブアプリケーションやSMBプロトコルのエクスプロイトが含まれているという。例えば、「VMWare vSphere」「SCO OpenServer」「Vesta Control Panel」などのエクスプロイトが新たに追加されている。

 また、5月18日に公開されたこのボットネットのバージョンには、「EternalBlue」(CVE-2017-0144)と「EternalRomance」(CVE-2017-0147)のエクスプロイトも含まれる。

 ボットはまず、「Linux」ベースのOSと「Windows」OSでこれらの脆弱性を悪用しようとする。Javaベースのダウンローダーも感染の初期段階で利用される。Pythonインタプリターと悪意のあるスクリプト、「pyinstaller」で作成した実行ファイルも悪用し、侵害したシステムをスレーブマシンとしてボットネットに仕立てようとするようだ。

 その後、Necro Pythonはコマンド&コントロール(C2)サーバーとの接続を確立してオペレーターとつながり、コマンドを受信して、ネットワークを傍受してデータを盗み出そうとしたり、さらなるマルウェアペイロードを展開したりする。

 コードは、仮想通貨(暗号資産)マイナーの「XMRig」プログラムをダウンロードし、実行するようになっている。侵害したマシンのリソースを不正に使用し、仮想通貨「Monero」を採掘するという。

 研究者らによると、「感染したシステムのHTMLファイルやPHPファイルに、攻撃者が管理するサーバーからコードを挿入して、JavaScriptベースのマイナーをダウンロードして実行する」。そして「ユーザーが感染したアプリケーションを開くと、JavaScriptベースのMoneroマイナーがブラウザーのプロセススペース内で実行される」という。

 ボットは、DDoS(分散型サービス拒否)攻撃、ネットワークのスニッフィングなどを行う機能も備えている。

 また、ユーザーモードのルートキットをインストールし、ユーザーがログインするたびにボットが動き、永続性を維持するが、その存在に気づかれないよう、悪意のあるプロセスやレジストリーエントリーは隠されているという。

 Necro Pythonのもう1つの注目すべきアップデートにポリモーフィックな機能がある。ボットの作成者は、より検出を困難にさせようとしているとみられ、イテレーションごとにスクリプトコードを変更させるポリモーフィックエンジンを追加したという。

 Talosは、「Necro Pythonボットの攻撃者は、さまざまなウェブアプリケーション上で、リモートコマンド実行のエクスプロイトの最新の進展をフォローし、ボットで新しいエクスプロイトを活用している。このため拡大して、システムが感染する可能性が高くなる。ユーザーはOSだけでなく、すべてのアプリケーションに必ず定期的に最新のセキュリティーアップデートを適用する必要がある」と注意を促している。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. 開発

    IT部門責任者が理解すべき「コンテナとKubernetes」の基礎を網羅

  2. コミュニケーション

    Zoomなどオンライン商談による「ちょっとだけ打ち合わせ」の威力とは?新しい売り方の教科書が登場!

  3. クラウドコンピューティング

    データ活用のためのハイブリッドクラウド基盤構築-データプラットフォームに求められる12の要件

  4. 経営

    脱パスワード 不便と不安を取り除くSSO-メリットと導入方法、ADやM365との連携を解説

  5. コミュニケーション

    事例:9割の業務の段取りを効率化、個人スキル依存から脱却したDFE社のタスク管理改善術

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]